Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
GitHub / TencentCloud · 27.4., 08:14 · verktøy

Tencent åpnet CubeSandbox: under 60 ms cold start og kjernel-isolasjon for agent-kode

SYNOPSIS_GENERERT

Tencent Cloud har sluppet CubeSandbox under Apache 2.0. Sandkassen kjører hver KI-agent i en dedikert Guest OS-kjerne via KVM, med under 60 ms kald oppstart, mindre enn 5 MB minne per instans og drop-in E2B SDK-kompatibilitet.

Tencent Cloud publiserte CubeSandbox på GitHub denne uken under Apache 2.0-lisens. Repoet samler hele sandkasse-stacken som driver Tencents eget agent-tilbud i Kina, og ligger på github.com/TencentCloud/CubeSandbox med 4 059 stjerner. Tallene Tencent oppgir på single-node-benchmark er konkrete: snitt 67 ms ved 50 samtidige opprettelser, P95 90 ms, P99 137 ms. Single-concurrency lander på 60 ms.

Alternativet i kodekjørings-sandkasser har vært Docker (rask, men deler kjerne) eller tradisjonelle VM-er (isolert, men sekunder å starte). CubeSandbox bygger på RustVMM og KVM, gir hver agent sin egen Guest OS-kjerne og rydder runtime-en aggressivt slik at minneoverheadet havner under 5 MB. Det betyr tusenvis av samtidige sandkasser per 96-vCPU-vert uten at du gir opp container-escape-resistens.

«Just swap one URL environment variable, no business logic changes needed, to migrate from expensive closed-source sandboxes to free Cube Sandbox.» — Tencent Cloud, i README

Kompatibilitetslaget er viktig. CubeSandbox eksponerer E2B SDK-grensesnittet og OpenAI Python SDK direkte, så du peker E2B_API_URL mot http://127.0.0.1:3000 og kjører eksisterende e2b-code-interpreter-kode uten endring. Nettverksisolasjon håndheves med eBPF (CubeVS), og hver sandkasse får finkornet egress-filtrering på kjernenivå.

>_ NØKKELTALL
60 ms
Single-concurrency cold start på bare metal
137 ms
P99 cold start under 50 samtidige opprettelser
5 MB
Maks per-instans minneoverhead i normal konfigurasjon
4 059
GitHub-stjerner ved publisering

Konteksten du må vurdere er at CubeSandbox krever en KVM-aktivert x86_64 Linux-vert. Det betyr WSL 2, en fysisk Linux-maskin eller bare metal hos en skyleverandør. Du får ikke kjørt det på en Mac-laptop eller en standard delt VM. For norske team som allerede står på dedikert Linux-infrastruktur, er instruksen «én git clone og to skript» nok til å reise et fungerende oppsett.

Hva bør du gjøre?

  1. Hvis du betaler E2B-lisens i dag, sett opp et CubeSandbox-instans på en bare-metal-vert og kjør samme test-suite. Migrasjonen er én miljøvariabel hvis SDK-kompatibiliteten holder.
  2. Sjekk om infrastrukturen din støtter KVM. WSL 2 fungerer for utvikling, men for produksjon trenger du nested virtualization eller dedikert maskinvare hos f.eks. Hetzner, OVH eller en av de norske bare-metal-leverandørene.
  3. Verifiser eBPF-policyene før du eksponerer sandkassen mot brukerinnsendt kode. CubeVS har solide defaults, men egress-regler bør tilpasses ditt domene før noen agent får lov til å åpne sockets.
Åpne eksternt kildedokument
open-sourceagenterverktøy

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN